Elegir el certificado HTTPS adecuado para su sitio web de WordPress

Publicado: 2019-09-27

En nuestra publicación anterior WordPress HTTPS, SSL y TLS: una guía para administradores de sitios web, explicamos qué es HTTPS y todos los demás términos técnicos, y cómo funciona. En este artículo, analizamos los certificados HTTPS, las diferentes formas en que puede adquirir uno para su sitio web de WordPress y por qué debería o no pagar por uno. Vamos a sumergirnos.

¿Qué es un certificado HTTPS?

Antes de que podamos analizar el cómo y el por qué de los certificados HTTPS, primero debemos analizar qué es un certificado. Un certificado se utiliza para:

  • cifrar el tráfico entre el servidor web y el navegador web,
  • verificar que el servidor web al que está conectado es realmente quien dice ser (un medio de identificación).

Un certificado HTTPS (certificado TLS) contiene una prueba criptográfica de que una entidad en la que confía un navegador puede garantizar la identidad de ese sitio web. Esta entidad se denomina Autoridad de certificación (CA). Las CA juegan un papel crucial cuando se trata de certificados HTTPS.

Puede pensar en una Autoridad de certificación similar a una "oficina de pasaportes" que verifica su identidad de forma independiente y le proporciona un "pasaporte" (certificado) para probar su identidad a otros. Sin embargo, para que alguien (un navegador web) valide su "pasaporte", debe confiar en la "oficina de pasaportes" (autoridad de certificación) que emitió el "pasaporte" (certificado). Al igual que un pasaporte, un certificado tendrá funciones de seguridad integradas para que sea difícil falsificarlo .

En otras palabras, para servir su sitio web a través de HTTPS, necesita una autoridad de certificación que le proporcione un certificado que demuestre la identidad de su sitio web de WordPress (usted es quien dice ser).

Diferentes tipos de certificados HTTPS

Si bien puede no ser obvio de inmediato, hay 3 tipos diferentes de certificados que puede obtener:

  • Validación de Dominio (DV)
  • Validación de la organización (OV)
  • Validación Extendida (EV).

Los certificados DV son, con mucho, los certificados más comunes. Cuando obtenga un certificado DV, verá la interfaz de usuario del navegador habitual que esperaría. Tenga en cuenta que esto difiere de un navegador a otro, e incluso de una versión de navegador a otra, pero por lo general, verá un candado y, a veces, la palabra "seguro".

Los certificados OV son más difíciles de obtener que los certificados DV porque requieren más validación. Sin embargo, rara vez se utilizan. Se ven exactamente iguales para el usuario final, no brindan beneficios tangibles sobre los certificados DV y cuestan más.

Esto deja los certificados EV: se supone que los certificados de validación extendida requieren un proceso de verificación exhaustivo para que una organización pueda obtener uno. Son considerablemente más caros e históricamente los navegadores los han tratado de manera ligeramente diferente en términos de su interfaz de usuario.

Candado HTTPS en la barra de URL del navegador

Sin embargo, en versiones recientes de Chrome, Firefox y Safari, este indicador se ha movido a una sección mucho menos visible. Esto se debe en gran parte al hecho de que no hay evidencia de que los certificados EV transmitan un nivel significativo de confianza a los usuarios finales. En algunos casos, EV en realidad puede causar más confusión a los usuarios finales. Tanto es así, que la gran mayoría de los sitios web más populares de Internet están pasando de los certificados EV a los certificados DV.

Certificado HTTPS con EV

¿Qué tipo de certificado necesita para su sitio web de WordPress?

Entonces, en resumen, desea un certificado de validación de dominio (DV) para su sitio web de WordPress. No hay ninguna razón real por la que deba necesitar un certificado de validación extendida (EV), especialmente ahora que los navegadores están eliminando prácticamente cualquier ventaja de poseer uno (además, también son bastante caros).

Obtención de un certificado HTTPS

Tradicionalmente, obtener un certificado HTTPS significaba pagar una tarifa anual a una autoridad de certificación (CA). El proceso era manual y bastante molesto para los administradores.

Logotipo de Let's Encrypt

Afortunadamente, en 2012 Mozilla comenzó a trabajar en lo que se conoció como Let's Encrypt ; una autoridad de certificación sin fines de lucro dirigida por Internet Security Research Group (ISRG). Proporciona certificados HTTPS sin cargo para todos . No sorprende que en pocos meses se haya convertido en la CA más grande de Internet.

estadísticas sobre certificados HTTPS y dominios de Let's Encrypt

Además de ser simplemente una CA gratuita, Let's Encrypt fue revolucionario porque fue la primera CA en utilizar el protocolo ACME. El protocolo ACME permite la renovación automática de certificados. Esto permite que Let's Encrypt cree certificados con una vida útil más corta (90 días), lo cual es más seguro. Además, los administradores de sistemas no necesitan preocuparse por renovar sus certificados gracias a herramientas como Certbot.

Limitaciones de los certificados Let's Encrypt HTTPS

Si bien hay miles de artículos en línea sobre cómo hacer que Let's Encrypt funcione para su sitio web de WordPress, es importante darse cuenta de que podría haber casos en los que no pueda usar sus certificados. Esto es especialmente cierto si está pagando por un certificado HTTPS como parte de su plan de alojamiento web o si no tiene el control total de su servidor web.

En este caso, verifique si puede usar un certificado Let's Encrypt con el servicio de atención al cliente de su proveedor de alojamiento antes de gastar dinero en un certificado. Hoy en día, la mayoría de los servicios de alojamiento de WordPress admiten certificados Let's Encrypt.

Si no es posible usar un certificado de Let's Encrypt con su plan de alojamiento, es posible que necesite un certificado HTTPS comercial o podría usar un servicio de firewall/CDN de WordPress en línea. La mayoría de ellos ofrece certificados HTTPS gratuitos como parte de sus servicios.

Configurando tu WordPress en HTTPS

Además de obtener un certificado HTTPS y habilitar HTTPS en su servidor web, también querrá asegurarse de que su sitio de WordPress esté configurado para HTTPS. Si bien puede hacer esto sin el uso de complementos, probablemente sea más fácil para la mayoría de los administradores de WordPress usar un complemento popular como Really Simple SSL. Con dicho complemento, se asegura de que todos sus enlaces apunten correctamente a la versión HTTPS de su sitio web.

También es importante tener en cuenta que los motores de búsqueda tratan los sitios web HTTP y HTTPS como sitios diferentes . Por lo tanto, a menos que ya lo haya hecho, también debe enviar su sitio HTTPS a Google Search Console.

¿Son realmente buenos los certificados HTTPS gratuitos?

Muchos propietarios de sitios web de WordPress todavía se muestran escépticos sobre el uso del certificado HTTPS gratuito de Let's Encrypt. A algunos les preocupa dar la imagen de que no se toman en serio la seguridad, por lo que temen perder clientes. Otros piensan que los certificados HTTPS gratuitos no son tan buenos como los de pago. No los culpo: ningún buen producto / servicio está realmente disponible de forma gratuita. Sin embargo, este es un caso diferente.

Let's Encrypt es gratuito para usted como usuario, pero no es un proyecto gratuito. ¡Pueden emitir certificados HTTPS gratuitos gracias a patrocinadores como Google, Facebook, Microsoft, Cisco y muchos otros! Entonces, digamos que todas estas grandes corporaciones están pagando por el certificado HTTPS de su sitio web de WordPress.

Let's Encrypt es una autoridad de certificación completa. No hay nada diferente, especialmente en términos de capacidades de cifrado, entre los certificados TLS gratuitos de Let's Encrypt y uno de pago. Habiendo dicho eso, no hay nada de malo en pagar por un certificado HTTPS, si puede justificar el costo.

¿HTTPS hace que mi sitio sea "seguro"?

Desafortunadamente, nada es 100% seguro y HTTPS ciertamente no es una excepción a esta regla. HTTPS es solo una pequeña parte del programa de seguridad de su sitio web de WordPress. Permite:

  • sus usuarios para conectarse de forma segura a su sitio web sin que su comunicación sea interceptada por miradas indiscretas en la misma red.
  • ayuda con parte del desafío constante que es la seguridad del sitio web.

Sin embargo, no es una bala de plata: si bien, sin duda, debe implementar y hacer cumplir HTTPS, no significa que haya terminado de proteger su sitio web de WordPress.

¿Qué más puedo hacer para garantizar que mi sitio web de WordPress sea seguro?

Hay muchas cosas que puede hacer para mejorar la seguridad de su sitio web de WordPress. Te recomendamos comenzar con lo siguiente:

  • Utilice un cortafuegos de WordPress,
  • Hacer cumplir fuertes políticas de contraseñas de WordPress,
  • Instale un complemento de monitoreo de integridad de archivos,
  • Mantenga un registro de todos los cambios que ocurren en WordPress,
  • Mantenga actualizado el núcleo de WordPress, todos los complementos, temas y software que usa.